Alerte
Cum se creează noi alerte
Funcția de alertă a CYBERQUEST este un modul complet personalizabil pentru fiecare utilizator conectat. Evenimentul care declanșează o alertă poate fi definit de utilizator pentru a răspunde nevoilor specifice ale evenimentului, asigurând o mare precizie și reducând la minimum alertele false.
Urmați pașii pentru a crea o nouă alertă:
Pasul 1. Autentificare
Pentru a accesa interfața web, deschideți un browser web și tastați adresa aplicației sau numele DNS. Adresa implicită atribuită inițial interfeței Web este https://CyberquestIPAddress (exemplu).
Browserul vă redirecționează automat către pagina de autentificare a CYBERQUEST:
Pasul 2. Navigați la Alerte
Din meniul Settings, selectați Alerts > Realtime. Pagina de personalizare a Alertelor se deschide în interfața modulului Alerte.
Pasul 3. Creați o nouă definiție a alertei
Pe pagina "Alerts" (Alerte), selectați butonul "Create new alert definition" (Creați o nouă definiție de alertă) pentru a crea o nouă alertă.
Pasul 4. Completați formularul
Completați formularul cu informațiile corespunzătoare și apăsați butonul "Save Alert & Exit":
Alert Name: Numele noii alerte.
Alert Active: Selectați caseta de selectare ALERT ACTIVE dacă alerta este activă sau debifați-o pentru a o dezactiva.
Time Frame TTL(sec.) : Această setare dă instrucțiuni alertei pentru cât timp să fie activă odată declanșată.
Alert Security Score (Scorul de securitate al alertei): Atunci când o alertă este declanșată, scorul de securitate al acesteia își va modifica în mod dinamic valoarea pornind de la această linie de bază definită, în funcție de regulile definite și de numărul de evenimente. Un scor de securitate în timp real nu poate fi mai mic decât linia de bază definită și mai mare de 100.
Alert Security Level (Nivelul de securitate al alertei): Nivelurile de securitate se comportă în mod similar cu scorurile de securitate și suportă același cod de culori.
Sent as Alert (Trimitere ca alertă): Caseta de selectare Send as Alert (Trimitere ca alertă) are un efect similar cu caseta de selectare ALERT ACTIVE. Atunci când nu este bifată, alerta este activă, dar nu va produce niciun efect vizibil. Această setare asigură corelarea în backend a analizei anomaliilor pe mai multe evenimente, declanșatoare și alerte.
Has Action (Are acțiune): Dacă alertei poate fi asociată o execuție de script, bifați și caseta de selectare Has Action. Regula de script este ultima regulă din lista de condiții a regulilor și prevalează asupra tuturor celorlalte reguli. Apăsați butonul . pentru a deschide fereastra Script Editor (Editor de scripturi), unde puteți crea un script personalizat pentru a-l aplica ca regulă.
Send via Email: Caseta de selectare "Send via Email" (Trimitere prin e-mail) permite trimiterea alertei către destinatarii definiți.
Notification Template (Șablon de notificare): Alegeți un șablon de notificare care să se aplice alertei dumneavoastră. Puteți alege dintre șabloanele de notificare încorporate sau personalizate. Default (Implicit) este Notificare implicită.
În secțiunea Rules (Reguli), puteți defini în mod granular regulile care controlează comportamentul alertei. Puteți defini de la reguli pentru un singur eveniment până la orice corelație între evenimente, ordinea în care se produc evenimentele, corelația cu lipsa unui eveniment dintr-o succesiune logică de evenimente și așa mai departe.
Precedent: Navigați prin condiția unei alerte.
Next: Navigați prin condiția unei alerte.
Add Rule (Adăugare regulă): Adăugați o nouă regulă prin apăsarea butonului "Add Rule" (Adăugare regulă). Noua regulă este definită în panoul Rule Settings (Setări reguli) din dreapta.
Panoul Rule Settings (Setări reguli) vă ajută să definiți logica regulii. Logica regulii constă în condiții de câmp, raport și corelație separate de operatorii logici AND, OR și NOT.
Fiecare regulă are:
Description: O descriere în care introduceți un text care descrie regula.
Add field condition (Adăugare condiție de câmp): În meniul derulant Select Field (Selectare câmp), selectați un câmp de eveniment reprezentativ. Din următoarea listă derulantă, selectați operatorul de valoare corespunzător. În al treilea câmp introduceți valoarea dorită.
Add report condition (Adăugați o condiție de raport): Condiția regulii vă prezintă o listă derulantă din care puteți selecta un raport din toate rapoartele existente.
Delete: Puteți șterge o condiție de regulă.
Atunci când adăugați o condiție de regulă, se adaugă automat un operator logic pentru corelarea cu condiția anterioară. Operatorul implicit este AND (ȘI). Faceți clic pe comutatorul AND pentru a schimba valoarea logică în OR. Faceți clic din nou pentru a schimba din nou la AND.
În cazul în care lanțul logic o impune, se adaugă și un operator "NOT" sub forma unei casete de selectare. În mod implicit, operatorul nu este selectat. Faceți clic pe NOT pentru a selecta operatorul.
Pentru a verifica informații suplimentare despre ALERTS, vă rugăm să urmați linkul: Modulul Alerte.